Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en el archivo /index.php/ccm/system/file/upload en Concrete (CVE-2022-30117)
Fecha de publicación:
24/06/2022
Idioma:
Español
Concrete versiones 8.5.7 y anteriores, así como Concrete versiones 9.0 hasta 9.0.2, permiten un salto en el archivo /index.php/ccm/system/file/upload, lo que podría resultar en una explotación de eliminación de archivos arbitrarios. Esto fue mitigado al sanear /index.php/ccm/system/file/upload para asegurar que Concrete no permita el salto y cambiando isFullChunkFilePresent para que tenga un retorno falso temprano cuando la entrada no coincida con las expectativas. El equipo de seguridad de Concrete CMS clasificó esto 5.8 con vector CVSS v3.1 AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H. Crédito a Siebene por reportar
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
05/07/2022

Vulnerabilidad en /dashboard/system/express/entities/forms/save_control/[GUID] en Concrete (CVE-2022-30118)
Fecha de publicación:
24/06/2022
Idioma:
Español
Título del CVE: Una vulnerabilidad de tipo XSS en /dashboard/system/express/entities/forms/save_control/[GUID]: sólo para navegadores antiguos. Descripción: Cuando es usado Internet Explorer con la protección de tipo XSS deshabilitada, la edición de un control de formulario en un formulario de entidades expresas para Concrete versiones 8.5.7 y anteriores, así como para Concrete versiones 9.0 hasta 9.0.2, puede permitir un ataque de tipo XSS. Esto no puede ser explotado en los navegadores web actuales debido a un mecanismo de escape de entrada automático. El equipo de seguridad de Concrete CMS clasificó esta vulnerabilidad 2 con el vector CVSS v3.1 AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N. Gracias a zeroinside por reportar
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2022

Vulnerabilidad en /dashboard/reports/logs/view en Concrete (CVE-2022-30119)
Fecha de publicación:
24/06/2022
Idioma:
Español
Una vulnerabilidad de tipo XSS en /dashboard/reports/logs/view - sólo en navegadores antiguos. Cuando es usado Internet Explorer con la protección de tipo XSS deshabilitada, un saneo insuficiente en la salida de las urls construidas puede ser explotado para Concrete versiones 8.5.7 y anteriores, así como para Concrete versiones 9.0 hasta 9.0.2. Esto no puede ser explotado en los navegadores web actuales debido a un mecanismo de escape de entrada automático. El equipo de seguridad de Concrete CMS clasificó esta vulnerabilidad 2 con el vector CVSS v3.1 AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N. Gracias a zeroinside por reportar
Gravedad CVSS v3.1: MEDIA
Última modificación:
05/07/2022

Vulnerabilidad en la cuenta www-data (servidor web Apache) (CVE-2022-2104)
Fecha de publicación:
24/06/2022
Idioma:
Español
La cuenta www-data (servidor web Apache) está configurada para ejecutar sudo sin contraseña para muchos comandos (incluyendo /bin/sh y /bin/bash)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2022

Vulnerabilidad en los controles de JavaScript (CVE-2022-2105)
Fecha de publicación:
24/06/2022
Idioma:
Español
Los controles de JavaScript del lado del cliente pueden ser evitados para cambiar las credenciales y los permisos del usuario sin autenticación, incluyendo un nivel de usuario "root" destinado sólo al proveedor. El acceso a nivel root del servidor web permite cambiar parámetros críticos de seguridad
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2022

Vulnerabilidad en el instalador de HPE Version Control Repository Manager (CVE-2022-28619)
Fecha de publicación:
24/06/2022
Idioma:
Español
Se ha identificado una posible vulnerabilidad de seguridad en el instalador de HPE Version Control Repository Manager. La vulnerabilidad podría permitir una escalada local de privilegios. HPE ha realizado la siguiente actualización de software para resolver la vulnerabilidad en el instalador de HPE Version Control Repository Manager versión 7.6.14.0
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2022

Vulnerabilidad en las subidas a determinadas extensiones de archivos (CVE-2022-2102)
Fecha de publicación:
24/06/2022
Idioma:
Español
Los controles que limitan las subidas a determinadas extensiones de archivos pueden ser omitidos. Esto podría permitir a un atacante interceptar la respuesta inicial de la página de subida de archivos y modificar el código asociado. Este código modificado puede ser reenviado y usado por un script cargado más adelante en la secuencia, permitiendo la carga arbitraria de archivos en una ubicación donde pueden ejecutarse scripts PHP
Gravedad CVSS v3.1: ALTA
Última modificación:
06/07/2022

Vulnerabilidad en el mecanismo de autenticación en Dominion Voting Systems ImageCast X (CVE-2022-1746)
Fecha de publicación:
24/06/2022
Idioma:
Español
El mecanismo de autenticación usado por los trabajadores electorales para administrar la votación usando la versión probada de Dominion Voting Systems ImageCast X puede exponer secretos criptográficos usados para proteger la información electoral. Un atacante podría aprovechar esta vulnerabilidad para obtener acceso a información confidencial y llevar a cabo acciones privilegiadas, afectando potencialmente a otros equipos electorales
Gravedad CVSS v3.1: ALTA
Última modificación:
17/04/2025

Vulnerabilidad en HPE Cray Legacy Shasta System Solutions versiones; HPE Slingshot; y HPE Cray EX (CVE-2022-28620)
Fecha de publicación:
24/06/2022
Idioma:
Español
Se ha detectado una vulnerabilidad de omisión de autenticación remota en HPE Cray Legacy Shasta System Solutions versiones; HPE Slingshot; y HPE Cray EX: Antes del firmware del controlador de nodo asociado a HPE Cray EX liquid cooled blades, y todas las versiones del firmware del controlador de chasis asociado a HPE Cray EX liquid cooled cabinets anteriores a 1.6.27/1.5.33/1.4.27; Todas las versiones de Slingshot anteriores a 1.7.2; Todas las versiones del firmware del controlador de nodo asociado a HPE Cray EX liquid cooled blades, y todas las versiones del firmware de HPE Cray EX liquid cooled cabinets anteriores a 1.6.27/1.5.33/1.4.27. HPE ha proporcionado una actualización de software para resolver esta vulnerabilidad en HPE Cray Legacy Shasta System Solutions, HPE Slingshot y HPE Cray EX Supercomputers
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
08/08/2023

Vulnerabilidad en el proveedor de clase de servicio (SCP) de OFFIS DCMTK (CVE-2022-2119)
Fecha de publicación:
24/06/2022
Idioma:
Español
El proveedor de clase de servicio (SCP) de OFFIS DCMTK (todas las versiones anteriores a 3.6.7) es vulnerable a una exploración de rutas, lo que permite a un atacante escribir archivos DICOM en directorios arbitrarios bajo nombres controlados. Esto podría permitir una ejecución remota de código
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en el usuario de clase de servicio (SCU) de OFFIS DCMTK (CVE-2022-2120)
Fecha de publicación:
24/06/2022
Idioma:
Español
El usuario de clase de servicio (SCU) de OFFIS DCMTK (todas las versiones anteriores a 3.6.7) es vulnerable a un salto de ruta relativo, lo que permite a un atacante escribir archivos DICOM en directorios arbitrarios bajo nombres controlados. Esto podría permitir una ejecución remota de código
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025

Vulnerabilidad en los archivos DICOM en OFFIS DCMTK (CVE-2022-2121)
Fecha de publicación:
24/06/2022
Idioma:
Español
OFFIS DCMTK"s (Todas las versiones anteriores a 3.6.7) presenta una vulnerabilidad de desreferencia de puntero NULL mientras procesa archivos DICOM, que puede resultar en una condición de denegación de servicio
Gravedad CVSS v3.1: ALTA
Última modificación:
03/11/2025
Suscribirse a Vulnerabilidades